Политика за синхронизация на времето - SME

Тази политика за синхронизация на времето (P23S) установява ясни, задължителни изисквания за конфигуриране и поддържане на точна синхронизация на времето във всички системи на организацията, участващи в съхраняване, предаване или обработване на бизнесрелевантни данни. Като политика за МСП, P23S е проектирана специално за организации с опростени ИТ роли, като генерален мениджър и доставчик на ИТ поддръжка, като същевременно постига съответствие с ISO/IEC 27001:2022, GDPR, NIS2, DORA и други рамки. Целта на тази политика е да поддържа цялостността на системните логове, да улеснява точното разследване на инциденти и да осигурява защитимост при одити чрез стриктно прилагане на автоматизирани контроли за синхронизация на времето. Тя изисква всички корпоративни, отдалечени и облачно хоствани системи, включително крайни потребителски устройства, сървъри, защитни стени и SaaS платформи, да разчитат на доверени, криптографски защитени източници на време (напр. удостоверени NTP сървъри или инструменти на облачния доставчик). Устройствата трябва да се синхронизират поне два пъти дневно и да остават в рамките на определени прагове (±5 секунди за работни станции; ±1 секунда за сървъри и устройства за сигурност). Разминаванията във времето извън праговете задействат предупреждения и трябва да бъдат коригирани своевременно, за да се предотвратят заплахи за проследимостта на данните или регулаторното съответствие. Политиката разпределя отговорности към генералния мениджър, доставчика на ИТ поддръжка и координатора по защита на личните данни или служителя по правни въпроси и съответствие. Генералният мениджър контролира и одобрява политиката или всякакви изключения, докато ИТ поддръжката конфигурира, извършва мониторинг и документира статуса на синхронизацията на времето. На служителите и външните изпълнители е строго забранено да променят настройките за време на устройствата; всички проблеми със синхронизацията трябва да бъдат ескалирани незабавно. Редовните проверки на здравето на системите и периодичните прегледи подпомагат текущото съответствие, а управлението на изключенията и компенсиращите контролни мерки се управляват и документират внимателно. Синхронизацията на времето е изрично свързана с други основни политики за МСП, включително Политика за регистриране и мониторинг, Политика за реагиране при инциденти, Защита на данните и защита на личните данни, Управление на активи и Политика за сигурност на доставчиците. Заедно тези политики осигуряват съгласувано покритие, като гарантират, че логовете, използвани за съответствие, мониторинг и откриване на заплахи или реакция при нарушения, са точни както по съдържание, така и по времеви марки. Документът подчертава строг процес за преглед и актуализация, като изисква годишна повторна оценка от генералния мениджър, ИТ и роли по защита на личните данни, като актуализациите се задействат от технологични промени или нови регулаторни задължения. Този цялостен подход дава на МСП възможност да спазват стандарти за сигурност на ниво големи организации без необходимост от сложни, ресурсоемки структури за надзор.